Внатрешните проверки кои се дел од системите за управување (ИСО9001, ИСО27000…) сѐ повеќе стануваат задолжително регулаторно барање. Пример за тоа е Законот за заштита на лични податоци кој бара барем еднаш годишно да се направи внатрешна проверка. Задолжителен запис од внатрешна проверка е програмата за внатрешна проверка како дел од планирањето на проверката. Внатрешниот проверувач треба да состави програма за проверката односно да ја прилагоди веќе воспоставената програма за проверка на моменталната ситуација во организацијата.
ИСО19011:2011 е стандард кој дава насоки за ревизија на системи за управување и е применлив за внатрешна проверка на било кој систем за управување: систем за управување со квалитет, систем за управување со безбедност на информации, систем за заштита на лични податоци.
Стандардот е применлив за сите типови на организации кои треба да спроведат внатрешна проверка, а може да се применува и на други типови на проверки под услов да е обезбеден посебен осврт на спецификите на потребните компетенции за тие типови на проверки.
Како да поставите добра програма за внатрешна проверка
При планирање на проверката треба најнапред да се утврдат целите на проверката односно на програмата за проверка. При тоа треба да се осигураме дека целите се поставени така да го насочуваат планирањето и спроведувањето на проверката и истите може да се базираат на:
- менаџмент приоритети
- комерцијални и други бизнис интенции
- карактеристики на процеси, производи и проекти, како и сите нивни промени
- барањата на системите за управување
- легални или договорни обврски на кои е обврзана организацијата
- барањата на клиентите
- резултати од претходни ревизии
- ниво на зрелост на системот за управување предмет на ревизија
Во врска со последново мора да се има предвид дека она што може да очекувате од еден проверувач е дека колку по совршен систем имате толку по детално тој ќе ве проверува и толку повеќе забелешки ќе имате- забелешки во смисол препораки за подобрување. Сето тоа со цел проверката да има додадена вредност на вашиот систем, а во врска со целите за кои иницијално е воведен системот.
Примери за цели на програмата за проверка:
- да придонесе во подобрување на системот
- да исполни надворешни барања – сертификација
- да потврди усогласеност со договорни услови
- стекнување и одржување на довербата за способноста на добавувачот
- да се утврди ефикасноста на системот за управување
- да се оцени компатибилност и усогласување на целите на системот за управување со политиките и целите на организацијата
Мониторирање на програмата за внатрешна проверка
Проверувачот покрај тоа што треба да ја спроведе проверката треба да направи и еден вид мониторирање на програмата за проверка односно да следи како се спроведува програмата на самата проверка:
- дали проверката се одвивала онака како што е планирано
- дали проверувачите се способни да ја направат проверката ефикасно, дали се компетентни, итн.
- дали проверувачите се способни да ја спроведат проверката согласно планот
- евалуација на фидбекот од топ менаџментот, ревидираните субјекти, проверувачите и другите засегнати страни.
Секогаш е добро да имате повратна информација од топ менаџментот, во однос на тоа дали се исполнети нивните очекувањата, од самиот проверувач, но и од проверуваните зошто само така ќе добиете вистинска слика за евентуалните потреби за промени во програмата за проверки.
Потребата за промена на планот за проверка може да произлезе од:
- наодите од самата проверка
- демонстрираното ниво на ефективност на системот што се проверува
- настанати промени во системот за управување
- промени во барањата на стандардите, законските и договорните услови
- промена на добавувач.
Она што е најважно е дека проверките мора да се засноваат на одредени принципи кои ќе ни ја направат проверката ефективна и сигурна алатка за поддршка на системите за управување. Најмалку што сакаме е да добиеме пополнет образец од проверка, нешто што само ќе послужи како доказ пред надворешен проверувач, сертификатор, регулатор итн. Една проверка е ефективна само ако ни обезбеди информации по кои понатаму организацијата ќе може да постапи со цел подобрување на своите перформанси бидејќи само во таков случај можеме да се потпреме на проверката како алатка.
Информација за авторот
Наташа Дрвошанска
Наташа Дрвошанска e Проектен менаџер со повеќегодишно искуство во управување со проекти, а од 2010 година работи и како консултант за воведување на стандардите ISO 9001, ISO 14000, ISO 27000 и ISO 20000.
Од 2012-та е сертифициран проектен менаџер (PMP) од страна на PMI – светски институт за проектен менаџмент.
Од 2012 година е аудитор за проверка на информатичкиот систем и информатичката структура согласно Законот за заштита на лични податоци. Има посетено повеќе обуки организирани од Дирекцијата за заштита на лични податоци.
Во својата кариера Наташа има работено како Проектен менаџер на голем број ИТ проекти за компании од регионот, консултант за воведување на стандарди во поголеми приватни фирми и јавни установи во Македонија, а во поново време и како аудитор за усогласеност со ЗЗЛП.